Archives de catégorie : Fuite de données

Chiffrement, cryptage, Cybersécurité, Emploi, Entreprise, Fuite de données, Sauvegarde, VPN

Data Loss Prevention

Prévention des pertes de données des collaborateurs mobiles. Quand la mobilité oblige à la Data Loss Prevention.

Data Loss Prevention  – La mobilité est à la fois un besoin et un défi pour les entreprises qui se battent pour créer une force de travail réellement fluide et entièrement digitale. Aujourd’hui, presque tous les collaborateurs travaillent avec un ou plusieurs périphériques mobiles contenant des informations d’entreprise, qu’il s’agisse d’un téléphone mobile, d’un ordinateur portable ou d’une tablette. L’un des premiers défis qui en découlent pour la direction informatique tient au fait que l’accès à distance aux données et aux e-mails se fait, par nature, « hors » du périmètre de l’entreprise, et qu’il est par conséquent très difficile de s’en protéger. La multitude des périphériques utilisés, en elle-même, complique la surveillance et le suivi des données d’entreprise consultées, partagées ou utilisées.

Data Loss Prevention : se concentrer sur les données

L’une des approches, choisie dans certaines entreprises, consiste à intégrer ces périphériques à une stratégie d’environnement de travail en BYOD. Les utilisateurs peuvent choisir le périphérique, le système d’exploitation et la version de leur choix, puisqu’il s’agit de leur propre périphérique. Malheureusement, cette approche peut en réalité créer des problèmes supplémentaires de sécurité et de DLP (prévention des pertes de données). En effet, de nombreux utilisateurs n’apprécient pas (voire interdisent) que leur employeur gère et/ou contrôle leur périphérique, pire encore, d’y installer des logiciels professionnels comme les programmes d’antivirus et de VPN.

Par conséquent, pour réussir, la stratégie de protection des données doit se concentrer sur la sécurisation des données uniquement, quel que soit le périphérique ou le mode d’utilisation. Dans un environnement d’entreprise, une grande majorité des données sensibles transitent dans les e-mails et leurs pièces jointes. Ainsi, une stratégie de protection des données réussie doit chercher à gérer et contrôler la passerelle par laquelle transitent les données, à savoir, ici, le compte d’e-mail d’entreprise.

Autre option : implémenter une suite d’outils de gestion de la sécurité mobile, ce qui permet de placer des mécanismes de sécurité sur la passerelle d’e-mail, et d’autoriser la création de règles de sécurité pour surveiller et contrôler la façon dont les informations d’entreprise sont traitées sur chaque périphérique.

Data Loss Prevention : Stratégie DLP tridimensionnelle

Une stratégie « DLP tridimensionnelle », surveille et contrôle le contenu transféré via un périphérique sur la base de critères précis. Par exemple, on peut limiter l’accès au contenu ou aux fichiers depuis le compte e-mail d’entreprise en fonction du pays, puisque les utilisateurs qui voyagent avec leur périphérique sont susceptibles d’accéder aux données et aux systèmes sur des réseaux Wi-Fi non sécurisés. Il est également possible de contrôler le contenu sur la base des mots clés qui figurent dans les e-mails (comme des numéros de sécurité sociale ou des numéros de contrat), afin d’interdire les pièces jointes ou le contenu incluant ce type d’information sur les périphériques mobiles. Comme les pièces jointes d’e-mail contiennent la majorité des informations sensibles transmises d’un périphérique à un autre, ce point est crucial lorsqu’il s’agit de protéger l’utilisation des périphériques dans l’environnement de travail. La troisième dimension est la surveillance du contexte, qui permet d’identifier et d’interdire le contenu pour des expéditeurs/destinataires spécifiques.

Ce type de considération permet de limiter les risques liés aux pertes de données et aux problèmes de sécurité pour cette partie des activités professionnelles Bien que cette approche ne suffise pas à contrôler et à sécuriser entièrement les banques de données d’une entreprise, la sécurité mobile va jouer un rôle de plus en plus vital pour la réussite des stratégies complètes de protection des données, au fur et à mesure que davantage de périphériques s’intègrent à nos habitudes de travail. (Par Eran Livne, Product Manager LANDESK)

Chiffrement, cryptage, Cyber-attaque, Cybersécurité, DDoS, Entreprise, Fuite de données, Leak, Piratage

Vulnérables aux cyberattaques les entreprises ?

Vulnérables aux cyberattaques – RSA, la division sécurité d’EMC, a publié les résultats de sa seconde édition de l’étude Cybersecurity Poverty Index, révélant que les entreprises qui investissent dans les technologies de détection et d’intervention sont plus en mesure de se défendre contre les cyber-incidents contrairement aux solutions basées sur des périmètres spécifiques. Celle-ci a été menée auprès de 878 répondants (deux fois plus que l’année dernière), dans 81 pays et 24 industries.

Vulnérables aux cyberattaques les entreprises ? Le rapport souligne que pour la seconde année consécutive, 75% des entreprises estiment être exposées à des risques conséquents en matière de cybersécurité ; les entreprises qui déclarent rencontrer plus de problèmes de sécurité sont 65% plus susceptibles d’être compétentes en matière de cybersécurité ; le nombre d’entreprises ayant déclaré de meilleures capacités de cyberdéfense a augmenté de plus de la moitié sur l’indice précédent, passant de 4,9 % à 7,4%.

La moitié des personnes interrogées évaluent leurs capacités de réponse aux incidents comme « ad hoc » ou « inexistantes » ; les organisations moins matures continuent d’utiliser par erreur des solutions basées sur des paramètres spécifiques afin d’empêcher de nouveaux incidents ; le Gouvernement et le secteur de l’Energie se classent parmi les derniers en matière de cyberdéfense ; l’Amérique est à nouveau derrière les régions APAC et EMEA en ce qui concerne son niveau de maturité en cybersécurité.

Également, beaucoup d’entreprises reconnaissent avoir tendance à entreprendre des investissements en matière de cybersécurité après avoir rencontré des incidents. Cependant, les résultats de cette étude démontrent que les organisations qui traitent régulièrement d’incidents de sécurité se protègent plus rapidement et de manière plus efficace.

Les entreprises doivent mettre en place des stratégies de prévention et prioriser les actions de détections et d’interventions. Amit Yoran, Président de RSA, souligne : « La seconde édition du Cybersecurity Poverty Index prouve à quel point les organisations de toutes tailles et de tous secteurs à travers le monde se sentent mal préparées face aux menaces actuelles. Nous devons changer la façon dont nous pensons la sécurité et se concentrer sur la prévention. Les entreprises doivent agir de façon proactive en élaborant des stratégies globales en amont des incidents. »

Base de données, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, DDoS, Entreprise, Fraude au président, Fuite de données, Leak, Piratage, Social engineering

Data Security Confidence : Se protéger des pirates ? Les entreprises doutent

Data Security Confidence – Une nouvelle étude révèle que la plupart des entreprises doutent de leur capacité à protéger leurs données en cas de cyberattaque.

Malgré l’augmentation du nombre de cyberattaques et la perte ou le vol de 3,9 milliards de registres de données depuis 2013, de nombreuses entreprises continuent d’avoir confiance dans l’efficacité du périmètre mis en place pour les protéger. Ceci est l’une des nombreuses conclusions mises en exergue par la troisième édition annuelle du Data Security Confidence Index publié par Gemalto.

Sur les 100 décideurs informatiques français interrogés, 39% déclarent que leurs systèmes de défense informatique (pare-feu, IDPS, antivirus, filtres de contenu, détecteurs d’anomalies, etc.) permettraient d’interdire très efficacement l’accès des personnes non autorisées au réseau. Cependant, 72 % disent ne pas être en mesure d’assurer la protection de leurs données si ces systèmes de défense venaient à être compromis. Ils étaient 51% dans ce cas en 2015 et 70% en 2014. En outre, 81% pensent que les utilisateurs non autorisés sont capables d’accéder au réseau, voire, pour 18% des interrogés, de l’infiltrer dans sa totalité.

« Ce rapport montre le fossé existant entre la perception et la réalité en ce qui concerne l’efficacité du périmètre de sécurité », souligne Jason Hart, VP et CTO de Gemalto pour la protection des données. « Même si l’époque de la prévention des cyberattaques est révolue, un grand nombre d’entreprises continuent de placer le périmètre de protection au cœur de leurs stratégies sécuritaires. Les professionnels doivent à présent changer leur façon de penser et ne plus chercher à prévenir les attaques, mais comprendre que ces dernières sont inévitables, et qu’ils doivent avant tout s’assurer de protéger les données ainsi que les utilisateurs qui y ont accès. »

Data Security Confidence

Même si le périmètre de sécurité reste prioritaire, il n’est pas suffisant. Toujours selon cette étude, 87% des décideurs informatiques français déclarent avoir ajusté leur stratégie en matière de sécurité après avoir été victimes d’une cyberattaque sophistiquée, un pourcentage qui était de 82% en 2015 et de 41% en 2014. D’autre part, 83% ont déclaré avoir augmenté le budget alloué à leur périmètre et 87% pensent que l’argent a été investi dans les technologies les plus adaptées.

Malgré les efforts qui continuent à être portés sur le périmètre de sécurité, les résultats de ce Data Security Confidence Index sont révélateurs des défis que les entreprises rencontrent en matière de vol de données. 82% des personnes interrogées en France indiquent que leur entreprise a fait l’objet d’un vol de données au cours des cinq dernières années. Plus d’un quart (32%) disent en avoir fait l’expérience depuis les 12 derniers mois, avec le même nombre de décideurs IT (30%) déclarant la même fréquence en 2015. Cela suggère que les entreprises n’ont pas réussi à limiter le nombre d’attaques, et ce malgré l’investissement réalisé au niveau du périmètre de sécurité.

« Alors que les entreprises pensent utiliser à bon escient leur budget sécurité, il est clair que les protocoles de sécurité employés ne répondent plus aux nouvelles exigences en la matière. Même si s’assurer de la robustesse de leur périmètre reste une priorité, elles doivent à présent adopter une approche multidimensionnelle en cas d’attaque. En ayant recours à des outils tels que le chiffrement de bout en bout et l’authentification à deux facteurs sur leur réseau et dans le cloud, elles seront capables de protéger l’ensemble de leur structure, ainsi que les données, ressources clés de l’entreprise, » conclut Hart.

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Espionnae, Fuite de données, ID, Identité numérique, Particuliers, Sauvegarde, Social engineering

Devenir maître dans l’art de protéger sa vie privée sur le net

Vol de ses données personnelles – Plusieurs sources ont révélé récemment la mise en vente sur le web de plus de 117 millions de profils d’utilisateurs LinkedIn dérobés en 2012. Ce type d’actualité rappelle que personne n’est à l’abri d’un vol de ses données personnelles qui risquent d’être utilisées à des fins illicites. Cette question est d’autant plus cruciale à l’heure où le nombre de logiciels malveillants, ransomwares et autres virus explose. Aujourd’hui, 67 % des Français sont soucieux quant à la protection de leurs informations personnelles sur internet et 83 % d’entre eux sont hostiles à la conservation de ces données (Source : Institut CSA).

Vol de ses données personnelles -Malgré cette méfiance, dans un monde où l’utilisation d’Internet est devenue omniprésente, les utilisateurs ont tendance à exposer très facilement leur vie privée et leurs données personnelles – parfois par paresse ou par mégarde, mais souvent par manque d’information. Il existe cependant des moyens simples et efficaces de limiter ces risques.

Michal Salat, Threat Intelligence Manager chez Avast, commente : « Les sphères privées et professionnelles se fondent de plus en plus, poussant fréquemment les utilisateurs à accéder à leurs plateformes de travail depuis des terminaux personnels ou à utiliser leurs appareils professionnels à la maison par exemple. Or, en adoptant ces comportements, les internautes exposent davantage leurs données personnelles.« 

Vol de ses données personnelles

Pour éviter que cela n’arrive, les utilisateurs doivent d’abord se protéger des menaces extérieures à leur appareil en commençant par créer un mot de passe ou un code PIN sur les écrans et les applications mobiles, limitant ainsi l’accès aux données en cas de perte ou de vol. Mais encore faut-il qu’il soit suffisamment compliqué pour ne pas être déchiffré trop facilement. C’est pourquoi il est recommandé d’utiliser des mots de passes complexes – combinant lettres, chiffres, caractères spéciaux et majuscules – et qui ne reprennent pas non plus des informations personnelles facilement accessibles en ligne, telle que la date de naissance ou le prénom de ses enfants. Il est également important de changer ses codes régulièrement.

Il faut garder en tête que les cybercriminels sont à l’affût de la moindre faille à exploiter pour récolter des gains et cherchent très souvent à récupérer des informations bancaires. C’est pourquoi les internautes doivent à tout prix éviter de sauvegarder leurs coordonnées bancaires dans leurs terminaux, quels qu’ils soient. A titre d’exemple, beaucoup d’utilisateurs PayPal ont perdu de grosses sommes d’argent lorsque des hackers ont réussi à se connecter à leurs PC via un compte TeamViewer piraté et se sont servi des identifiants enregistrés pour transférer l’argent depuis les comptes PayPal.

Les utilisateurs doivent redoubler de vigilance face à un email leur demandant des informations sur leur compte bancaire et se souvenir que les établissements dignes de confiance ne feront jamais de telles requêtes par mail. Il est par ailleurs vivement déconseillé d’ouvrir des fichiers inconnus joints dans un email, car le phishing est l’un des moyens les plus largement utilisés par les hackers pour introduire un virus dans un terminal. Une fois celui-ci compromis, ils peuvent accéder aux informations personnelles ou chiffrer ces données et demander une rançon à la victime pour les rendre de nouveau accessibles.

Les pirates parviennent à créer des e-mails d’hameçonnage très sophistiqués notamment grâce à la collecte d’informations personnelles publiques disponibles sur le web – accessibles sur les réseaux sociaux par exemple. Il est alors essentiel pour l’utilisateur de poster le moins d’informations possibles sur Internet ou de s’assurer que celles-ci sont en mode privé. Il est également crucial de supprimer ses comptes s’ils ne sont plus utilisés, car bien qu’abandonnés, ces profils restent en ligne et des personnes malintentionnées pourraient usurper l’identité de l’internaute ou nuire à sa réputation en ligne en utilisant des informations sensibles contre lui.

La protection de la vie privée et des données personnelles (vol de ses données personnelles) implique une modification du comportement des internautes à commencer par de meilleures méthodes de gestion de mots de passe, une vigilance accrue sur leur utilisation d’Internet et des informations personnelles partagées publiquement – comme sur les réseaux sociaux. Au-delà des bonnes pratiques, il existe des solutions qui répondent aux problématiques liées à la vie privée. Cependant face aux menaces, il n’appartient qu’à nous de nous discipliner et de tout mettre en œuvre pour protéger nos données personnelles.

Base de données, Chiffrement, cryptage, Cybersécurité, double authentification, Entreprise, Fuite de données, ID, Identité numérique, Mise à jour, Particuliers, Social engineering

Piratage d’utilisateurs de TeamViewer : la faute aux utilisateurs

Un commentaire

Un nombre conséquent d’utilisateurs de TeamViewer se sont plaints du piratage de leur compte. La société américaine indique que les utilisateurs sont responsables… de leur négligence.

De nombreuses sociétés Internet comme Reddit ont dû modifier les mots de passe de certains de leurs utilisateurs, 100.000 pour Reddit, à la suite du piratage massif des données de Myspace, LinkedIn… Pourquoi ? Les utilisateurs exploitaient le même mot de passe sur différents supports numériques. Autant dire du pain béni pour les pirates. Parmi les victimes, le fondateur de Facebook. Lui, il cherchait doublement les ennuis, son mot de passe n’était rien d’autre que « dadada« . Bref, à force de penser que cela n’arrive qu’aux autres, le danger vous tombera dessus, un jour ou l’autre, et plus rapidement que vous pourriez le penser.

TeamViewer, l’outil qui permet de se connecter sur un ordinateur, à distance, vient d’alerter ses utilisateurs. Un grand nombre de clients TeamViewer s’étaient plaints du piratage de leur compte. L’entreprise a utilisé le terme de « négligence » pour définir les récents problèmes.

TeamViewer a mis en place, la semaine dernière, un nouveau système de sécurité pour renforcer les connexions : la double authentification. Le porte-parole de TeamViewer a indiqué que le développement des outils de sécurité avait commencé, il y a quelques semaines, lorsque les premiers rapports de vols de compte ont émergé du web.

Cybersécurité, Entreprise, Fuite de données, ID, Identité numérique, Mise à jour, Particuliers, Patch

Problème de confidentialité pour le site My pension

Le site Belge Mypension.be souffre d’un problème de confidentialité. Un utilisateur pensant être déconnecté… le reste sans le savoir.

problème de confidentialité – Les cookies sont de petits fichiers permettant de rendre « unique » l’utilisation d’un site Internet. Il permet de garder en mémoire une session après l’utilisation d’un identifiant de connexion ; de garder en mémoire les choix que vous avez pu effectuer sur un forum, une boutique… Le cookie peut aussi être un problème, surtout si ce dernier est mal géré.

C’est ce qui vient d’arriver au site Internet du gouvernement Belge, Mypension.be. Cet espace du service public du royaume ne prend pas en compte l’ordre pourtant donné par le bouton « deconnexion ». Bilan, si une personne surfe sur un ordinateur public ou semi public (bureau…) un second internaute, face au clavier, peut se retrouver connecter aux informations privées et sensibles du propriétaire légitime. « Une solution technique est en préparation et sera déployée aussitôt qu’elle aura été validée. La sécurité est en effet essentielle pour nos utilisateurs. » infique le site des pensions belges au journal Le Vif.

Espérons pour ce site qu’aucune faille de type XSS (Cross-Site Scripting) existe. Une XSS permet de dérober, par le biais d’un lien particulièrement formulé, d’intercepter les données d’un cookie, donc dans ce cas, de connexion d’un belge utilisateur de My Pension. Une attaque qui peut faciliter, pour un malveillant, l’accès aux données d’une cible pensant être déconnectée de son administration.

Base de données, Chiffrement, cryptage, Cybersécurité, Emploi, Entreprise, Fuite de données, Logiciels, Wordpress

Panama Papers : le résultat d’une sécurité informatique négligée

Sécurité informatique négligée – Le monde financier, politique et juridique a été bouleversé par les Panama Papers. Mais comment a-t-il été possible de voler 2,6 To de données appartenant à Mossack Fonseca ?

Au delà de l’affaire fiscale, politiciens, industriels et autres personnalités auraient utilisé des entreprises offshore pour réaliser de l’optimisation, Mossack Fonseca est aussi une affaire de sécurité informatique ! Même si nous n’avons encore aucune certitude sur la manière dont la fuite s’est précisément produite, c’est tout de même 2,6 To de données qui ont été volées chez Mossack Fonseca. Le cabinet-conseil juridique a déclaré que les données ont été volées à partir d’un serveur email attaqué, sans donner davantage de détails.

Plusieurs experts se sont penchés sur la question. Regardons quelques dérapages de cette sécurité informatique négligée :
Mossack Fonseca utilise WordPress pour son site internet. Comme nous le savons, il est important de mettre à jour les sites internet WordPress régulièrement à cause des failles qui ressortent très souvent. La version utilisée mi-avril a été mise à jour la dernière fois il y a cinq mois.
Le serveur WordPress utilisait le même serveur que la base de  données contenant tous les fichiers client.
Le site internet de Mossack Fonseca utilise un plug-in WordPress propice aux fuites : Revolution Slider. Le plug-in a été attaqué régulièrement depuis 2014. Même sanction pour son application dédiée aux offres d’emploi. Une révélation de ZATAZ.
Les détails d’identification du serveur mail étaient stockés en texte dans un autre plug-in WordPress.
Il y avait un portail où les clients pouvaient s’identifier. Une version de Drupal propice aux fuites était utilisée à ces fins et contenait 25 vulnérabilités différentes. Drupal n’a pas été mis à jour depuis 2013.
Le serveur email de Mossack Fonseca n’a pas été mis à jour depuis 2009 et contenait par conséquence beaucoup de failles de sécurité.
Le protocole hasardeux SSL v2 était utilisé pour le portail client.
Le site était vulnérable aux injections SQL.
Les mails n’étaient pas chiffrés.
Différents experts émettent également l’hypothèse qu’un espionnage interne pourrait être à l’origine de la fuite.

Même s’il est difficile de savoir si une ou plusieurs de ces failles ont été utilisées dans l’attaque, il parait évident que la sécurisation des informations du cabinet de conseil était trop faible. Mais le vol de données est un symptôme qui est présent dans tous les secteurs. D’une manière générale, la sécurité de l’information et l’informatique est bien souvent le parent pauvre des entreprises. Les directives de protection des données de la commission européenne qui vont rendre illégales l’attitude laxiste face à la sécurité des informations, ne peut qu’être bénéfiques. Même si l’on peut craindre qu’il n’y ait aucune action des entreprises jusqu’à ce que tombent les premières amendes.

Base de données, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Emploi, Entreprise, Fuite de données, ID, Identité numérique, Leak, Linkedin, Particuliers, Piratage

Notification d’infraction aux données : linkedIn

La société LinkedIn vient de communiquer sur son « problème » de fuite de données. Voici ses propos et sa notification d’infraction aux données.

« Vous avez pu récemment entendre parler de problème de sécurité à LinkedIn. Nous souhaitions nous assurer que vous disposiez des faits réels, des données concernées et des mesures que nous prenons pour vous protéger.

Que s’est-il passé ?
Le 17 mai 2016, nous avons découvert que des données volées en 2012 de LinkedIn ont été mises à disposition en ligne. Il ne s’agit pas d’une nouvelle infraction ou d’un hack. Nous avons pris des mesures immédiates pour invalider tous les mots de passe des comptes que nous estimons affectés. Il s’agit des comptes créés avant 2012 qui n’avaient pas mis leur mot de passe à jour après l’infraction.

Quelles sont les données concernées ?
Les adresses e-mail des membres, les mots de passe chiffrés et l’ID LinkedIn (identifiant interne attribué à chaque profil de membre) de 2012.

Nos mesures
Nous avons invalidé les mots de passe de tous les comptes créés avant l’infraction de 2012 qui n’avaient pas réinitialisé les mots de passe depuis. De plus, nous utilisons des outils automatiques pour identifier et bloquer toute activité suspicieuse qui se produirait sur les comptes LinkedIn. Nous collaborons également avec les forces de l’ordre.

LinkedIn a pris des mesures importantes depuis 2012 pour renforcer la sécurité des comptes. Nous avons ajouté des couches de protection supplémentaires au stockage des mots de passe et offrons la possibilité à nos membres d’activer la vérification en deux étapes pour plus de sécurité.

Vos options
Nous avons plusieurs équipes dédiées à la sécurité des données confiées par nos membres à LinkedIn. De votre côté, pour renforcer la sécurité de vos comptes, nous vous suggérons d’accéder au Centre de sécurité pour apprendre à activer la vérification en deux étapes et à créer des mots de passe résistants. Nous recommandons que vous changiez régulièrement de mot de passe et que si vous utilisez des mots de passe similaires, ou les mêmes, sur d’autres sites web, vous les changiez aussi.

Pour plus d’informations
Si vous avez des questions, veuillez contacter notre équipe Sécurité tns-help@linkedin.com. Pour en savoir plus, lisez notre blog officiel. »

Argent, Base de données, Cyber-attaque, Cybersécurité, Entreprise, escroquerie, Fuite de données, ID, Identité numérique, Justice, Leak, loi, Mise à jour, Particuliers, Piratage

Les cybers attaques ont un impact réel sur la confiance des consommateurs

Une enquête menée par le cabinet d’études VansonBourne à l’initiative de FireEye auprès d’un panel représentatif de 1000 consommateurs français, révèle que les cyber attaques de grande ampleur qui se sont produites en 2015 ont affecté durablement la confiance des consommateurs envers les grandes marques.

Les résultats de l’enquête ont mis en évidence une inquiétude grandissante du public directement liée à la perception d’un manque d’intérêt des directions générales pour la protection des données, plus des trois quarts (77%) des consommateurs déclarant être prêts à stopper leurs achats auprès d’une entreprise si une cyber attaque révélait une négligence de la part des dirigeants sur la protection des données. Cette négligence des dirigeants est d’ailleurs jugée plus grave que si la faille de sécurité est simplement due à une erreur humaine, seules 53% des personnes interrogées évoquant cette raison pour stopper leurs achats.

Les conclusions de l’enquête révèlent également l’impact financier potentiel sur le long terme des vols de données pour les grandes marques, 54% des consommateurs déclarant qu’ils engageraient des poursuites judiciaires contre les entreprises si leurs données personnelles étaient volées ou utilisées à des fins criminelles à la suite d’une cyber attaque. 71% des consommateurs indiquent également qu’ils divulgueront à l’avenir moins d’informations personnelles aux marques avec lesquelles ils sont en relation, ce qui pourrait avoir un impact négatif sur les ventes de beaucoup d’entreprises qui exploitent les donnes de leurs clients pour optimiser leur marketing.

Richard Turner, President EMEA de FireEye, a déclaré : « Les cyber attaques et les vols de données se sont multipliés dans l’actualité au cours de l’année écoulée, et les entreprises françaises n’ont pas toutes été épargnées. Les dirigeants des entreprises concernées ont dû réagir immédiatement pour limiter les pertes financières directes, en offrant des ristournes ou d’autres compensations aux consommateurs ». Mais cette enquête montre que les pertes financières dues à un vol de données s’étendent longtemps après que l’attaque initiale ait eu lieu. Elle met en lumière le « coût caché » des cyber attaques sur les entreprises, avec des consommateurs moins enclins à acheter auprès d’organisations réputées négligentes en matière de sécurité, et de plus en plus tentés d’engager des poursuites contre des fournisseurs si leurs données tombent en de mauvaises mains.

Les conclusions de cette enquête sur la confiance des consommateurs montrent que les perceptions négatives du public pour les marques attaquées peuvent persister longtemps après qu’elles aient quitté l’actualité, et que de plus en plus de consommateurs affectés par les vols de données pointent du doigt les responsables tout en haut de l’échelle. Il y a là des leçons importantes à retenir pour les directions générales, qui commencent à comprendre pourquoi elles doivent jouer un rôle plus actif dans la cyber sécurité. Il est également intéressant de voir dans ces résultats que les consommateurs accordent de plus en plus d’importance à la sécurité des données et gardent cet aspect à l’esprit lors de leurs décisions d’achat. Alors que la sécurité des données a été trop souvent considérée par le passé par les entreprises comme un simple centre de coût, elle représente désormais pour elles une opportunité d’attirer de nouveaux clients qui veulent avoir l’assurance que leurs données seront en sécurité. »

Les principales conclusions de l’enquête sur la confiance des consommateurs

·         Plus de la moitié des consommateurs interrogés (53%) déclarent prendre la sécurité de leurs données personnelles en considération lorsqu’ils achètent des produits et services.

·         71% des consommateurs interrogés divulgueront dans l’avenir moins de données personnelles aux organisations qui leur fournissent des produits et des services, en conséquence des cyber attaques majeures qui ont eu lieu l’année dernière.

·         Près de la moitié (42%) des consommateurs seraient prêts à payer plus un fournisseur de service garantissant une meilleure sécurité des données.

·         54% des consommateurs déclarent qu’ils engageraient des poursuites judiciaires contre leurs fournisseurs de produits et services si leurs données personnelles étaient volées ou utilisées à des fins criminelles à la suite d’une cyber attaque.

·         13% des personnes interrogées déclarent que la sécurité de leurs données personnelles est désormais leur principale préoccupation lorsqu’elles achètent des produits et services.

·         38% des consommateurs déclarent que les cyber attaques de grande ampleur qui se sont produites l’année dernière ont eu un impact négatif sur leur perception de la réputation des entreprises attaquées, tandis que 30% d’entre eux déclarent que ces cyber attaques ont dégradé la réputation de toutes les entreprises auprès desquelles elles font leurs achats.

·         21% des personnes interrogées qui ont eu connaissance des cyber attaques de l’année passée considèrent que la communication des dirigeants des entreprises concernées a été mauvaise ou très mauvaise.

·         L’enquête a également révélé que 93% des personnes interrogées s’attendraient à être informées dans les 24 heures si leur fournisseur de service était victime d’une attaque susceptible de compromettre leurs données. La nouvelle directive européenne GDPR (General Data Protection Regulation) imposant que les autorités soient informées d’un vol de données dans les 72 heures, ceci montre que les consommateurs sont encore plus stricts dans leurs exigences, 68% d’entre eux s’attendant même à être informés immédiatement.